作者：Scott J.Shapiro

他们的DDoS恶意软件威胁了整个互联网

当大一年级的学生无法选到热门的高级选修课时，他们感到沮丧是可以理解的，但他们通常只是抱怨。Paras Jha是个例外，他对新泽西州立大学罗格斯分校给予高年级学生优先注册计算机科学选修课的权利感到愤怒，于是决定瘫痪注册网站，让所有人都无法注册。

2014年11月19日星期三晚上10点est时间——春季课程一年级学生的注册期刚刚开始——Paras发起了他的第一次分布式拒绝服务（DDoS）攻击。他组建了一支由大约4万个机器人组成的大军，主要分布在东欧和中国，并将它们释放到罗格斯大学的中央认证服务器上。僵尸网络发送了数千个欺诈性的身份验证请求，使服务器过载，所以其他同学都无法通过注册。

下一学期，Paras又尝试了一次。2015年3月4日，他给校报the Daily Targum发了一封电子邮件：“不久前，你有一篇文章谈到了罗格斯大学遭受的DDoS攻击，是我攻击了网络。我将在美国东部时间晚上8点15分再次攻击该网络。”Paras兑现了他的威胁，在晚上8点15分准时关闭了罗格斯大学的网络。

本文改编自作者的新书Fancy Bear Goes Phishing: the Dark History of the Information Age，出版于Five Extraordinary Hacks（Farrar, Straus, and Giroux 2023）。

3月27日，Paras对罗格斯大学发动了另一次袭击。这次袭击持续了四天，使校园生活陷入停顿，5万名学生、教职员工无法从校园使用电脑。

4月29日，Paras在Pastebin上发布了一条消息，Pastebin是黑客经常发送匿名信息的网站。“罗格斯大学的IT系就是个笑话，”他嘲讽道。“这是我第三次对罗格斯大学发起DDoS攻击，每一次，罗格斯大学的基础设施都像铁罐一样在我的靴子后跟下崩溃。”

Paras对罗格斯大学选择马萨诸塞州的一家小型网络安全公司Incapsula作为其ddos缓解服务提供商感到愤怒。他声称罗格斯大学选择了最便宜的公司。“为了让你看看Incapsula的网络质量有多差，我已经采取了行动，摧毁了罗格斯大学的网络（以及Incapsula的部分网络），希望你能选择另一家知道自己在做什么的供应商。”

Paras对罗格斯大学网络的第四次袭击发生在期末考试期间，在校园内造成了混乱和恐慌。他陶醉于自己关闭一所主要州立大学的能力，但其最终目标是迫使学校放弃Incapsula。帕拉斯创办了自己的ddos缓解服务ProTraf Solutions，并希望罗格斯大学选择ProTraf而不是Incapsula。他不会停止攻击他的学校，直到学校改变主意。

Minecraft中的黑客

Paras Jha在新泽西州中部一片绿树成荫的郊区范伍德出生并长大。他上三年级时，一位老师建议对他进行注意力缺陷多动障碍的评估，但其父母没有照做。

随着Paras小学毕业，他的挣扎越来越多，因为他是如此的聪明。而他的老师和父母把他平庸的表现归结为懒惰和冷漠，不明所以的父母对他的要求更严格了。

Paras在电脑中寻求庇护。12岁时，他自学了编程，并迷上了编程。他的父母很高兴地鼓励他的这种热情，给他买了一台电脑，让他可以不受限制地上网。但他们的放纵让Paras进一步孤立了自己，因为他把所有的时间都花在了编程、玩游戏和和网友闲聊上。

Paras特别喜欢在线游戏Minecraft。九年级时，他从该游戏的普通玩家转到对接托管服务器。他第一次遇到DDoS攻击也是在托管游戏服务器时。

这款游戏的服务器管理员经常雇佣DDoS服务让竞争对手下线。随着Paras对更复杂的DDoS攻击的了解，他也研究了DDoS防御。当他精通了如何减轻对Minecraft服务器的攻击时，他决定创建ProTraf Solutions。

Paras对Minecraft的攻击和防御的痴迷，加上他未治疗的多动症，导致他更远离家庭和学校，他高中时糟糕的学习成绩使他沮丧沮丧。他唯一的安慰是日本动漫，以及他从游戏DDoS专家的在线社区中获得的钦佩。

当Paras进入罗格斯大学攻读计算机科学学士学位时，他的挣扎恶化为瘫痪。没有母亲的帮助，他无法自己调节正常的生活需求。他无法安排好自己的睡眠、日程和学习。帕拉斯也非常孤独。于是，他全身心地投入到黑客活动中。

Paras和他的两个黑客朋友，Josiah White和Dalton Norman，决定对ddos攻击之王——一个被称为VDoS的团伙下手。该团伙向全世界提供这些服务已经有四年了，这在网络犯罪中是一个永恒的时间。与经验丰富的网络罪犯作战的决定似乎很勇敢，但这三人实际上比他们的对手更老。2012年，当VDoS团伙成员从以色列开始提供DDoS服务时，他们只有14岁。这些19岁的美国青少年将与两个18岁的以色列青少年作战，这两个青少年帮派之间的战争不仅会改变恶意软件的性质。他们争夺网络空间主导权的斗争将制造出一台世界末日机器。

IEEE频谱

具有毁灭性潜力的Mirai僵尸网络不是有组织犯罪或民族国家黑客组织的产物，而是由三个十几岁的男孩组合而成的。他们把自己的僵尸网络出租给付费客户，让他们恶作剧，然后用它来攻击自己选定的目标。但是直到这个团队公开了他们的恶意软件的源代码之后，整个危险程度才变得清楚。然后其他人利用它造成了更大的伤害：摧毁了德国最大的互联网服务提供商。攻击Dyn的域名系统服务器，导致数百万人无法使用互联网，并关闭了利比里亚的所有互联网。

Mirai僵尸网络利用了易受攻击的物联网设备，比如支持Telnet（一种过时的远程登录系统）的联网摄像机，这些设备的用户很少更新他们的密码，因此使用一种称为字典攻击的策略很容易被猜到。

组装僵尸网络的第一步是扫描随机IP地址，寻找易受攻击的物联网设备，这些设备的密码可以被猜到。一旦被识别出来，这些设备的地址就会被传递给一个“加载程序”，它会把恶意软件放在易受攻击的设备上。然后，位于世界各地的受感染设备可能被用于分布式拒绝服务攻击，由指挥与控制（C2）服务器精心策划。当不攻击目标时，这些机器人将被招募来扫描更容易受到感染的设备。

僵尸网络疯狂

僵尸网络恶意软件对于出于经济动机的犯罪是有用的，因为僵尸主人可以告诉受其奴役的机器人在易受攻击的机器上植入恶意软件，发送网络钓鱼电子邮件，或从事点击欺诈，其中僵尸网络通过引导机器人点击按点击付费广告获利。僵尸网络也是很好的DDoS武器，因为它们可以针对目标进行训练，并从各个方向对其进行攻击。例如，2000年2月的一天，黑客MafiaBoy攻击了Fifa.com、Amazon、Dell、E-Trade、eBay、CNN，以及当时互联网上最大的搜索引擎Yahoo。

在关闭了如此多的主要网站后，MafiaBoy被认为是对国家安全的威胁。克林顿总统下令在全国范围内搜捕他。2000年4月，MafiaBoy被捕并受到指控，2001年1月，他承认58项拒绝服务攻击指控。执法部门没有透露黑手党男孩的真实姓名，因为这个威胁国家安全的家伙已经15岁了。

MafiaBoy和VDoS的工作人员都是捣毁服务器的青少年。但是，尽管MafiaBoy是为了这项运动，vdo是为了经济利益。事实上，这些十几岁的以色列孩子是科技创业的先驱，他们帮助发起了一种新的网络犯罪形式：DDoS即服务。有了它，现在任何人都可以只点击一个按钮，不需要任何技术知识。

DDoS提供商可以在网络上公开做广告，这可能令人惊讶。毕竟，在任何地方给其他网站注射兴奋剂都是违法的。为了解决这个问题，这些“引导服务”长期以来一直认为它们执行的是合法功能:为那些设置网页的人提供一种对网站进行压力测试的方法。

理论上，这些服务确实发挥着重要的作用。但这只是理论上的。正如一家引导服务提供商向剑桥大学的研究人员承认的那样，“我们确实试图向更合法的用户群推销这些服务，但我们知道钱从哪里来。”

八月的僵尸网络

Paras在大学二年级时从罗格斯大学退学，在父亲的鼓励下，他在接下来的一年里专注于建立自己的ddos防御公司ProTraf Solutions。就像黑手党老大收保护费一样，他必须提供必要的保护。在大一发动了四次DDoS攻击后，他在2015年9月再次攻击了罗格斯大学，仍然希望他的母校能放弃Incapsula。但罗格斯大学拒绝让步。

ProTraf Solutions公司破产了，Paras需要现金。2016年5月，Paras联系了Josiah White。和Paras一样，Josiah也经常光顾黑客论坛。15岁时，他开发了Qbot的主要部分。Qbot是一种僵尸网络蠕虫，在2014年达到鼎盛时期，曾控制了50万台计算机。现在18岁的Josiah改变了立场，和他的朋友Paras一起在ProTraf做DDoS防御。

黑客的命令与控制（C2）服务器协调了许多地理上分布的机器人（在其控制下的计算机）的行动。这些计算机可能是IP摄像机等物联网设备，它们可能会被指示用不必要的流量淹没受害者的服务器，使其无法响应合法请求。IEEE频谱

但Josiah很快又回到了黑客领域，并开始与Paras合作，利用Qbot恶意软件，对其进行改进，建立一个更大、更强大的DDoS僵尸网络。他俩随后与19岁的Dalton Norman搭档。三人组成了一支运转良好的团队：道尔顿负责发现漏洞；Josiah更新了僵尸网络恶意软件来利用这些漏洞；Paras为命令控制服务器编写了c2软件，用于控制僵尸网络。

然而这三人面临着竞争，另外两个DDoS团伙，蜥蜴小队和vdos，决定联合起来建立一个巨大的僵尸网络。这次被称为PoodleCorp的合作取得了成功。PoodleCorp的僵尸网络可以释放到目标上的流量达到了每秒400千兆比特的记录值，几乎是之前任何僵尸网络所达到的速度的四倍。他们使用这种新武器攻击了巴西的银行、美国政府网站和Minecraft的服务器，通过劫持1300个联网摄像头获得了如此强大的火力。网络摄像头往往拥有强大的处理器和良好的连接性，而且很少打补丁。因此，利用视频的僵尸网络有巨大的大炮可供使用。

当PoodleCorp公司蒸蒸日上时，Paras, Josiah和Dalton研发了一种新武器。到2016年8月初，这三个人已经完成了僵尸网络恶意软件的第一个版本。Paras将新代码命名为Mirai，以动画系列Mirai Nikki命名。

Mirai被释放后，它像野火一样蔓延开来。在最初的20个小时内，它感染了6.5万台设备，每76分钟就会扩大一倍。在当时肆虐的僵尸网络战争中，Mirai无意中有了一个盟友。

在阿拉斯加州的安克雷奇，联邦调查局的网络部门正在调查一个针对vdo的案件。FBI不知道Mirai或它与vdo的战争。这些特工没有定期阅读黑客论坛等在线论坛。他们不知道他们的调查目标正在被摧毁。FBI也没有意识到Mirai已经准备好进入空白。

安克雷奇的首席调查员是特工Elliott Peterson，他留着红色的寸头，是一名前美国海军陆战队员，也是一名冷静而自信的特工。在33岁的时候，Peterson回到了他的家乡阿拉斯加州起诉网络犯罪。

2016年9月8日，联邦调查局安克雷奇和纽黑文的网络部门联合起来，在康涅狄格州对PoodleCorp的一名成员发出了搜查令，该成员负责管理控制其所有僵尸网络的C2。同一天，以色列警方在以色列逮捕了vdo的创始人。顷刻间，贵宾公司不复存在了。

Mirai小组等了几天来评估战场，据他们所知，自己是唯一幸存的僵尸网络。且已经准备好使用他们的新力量。Mirai赢得了战争，因为以色列和美国的执法部门逮捕了PoodleCorp背后的主谋。但无论如何，Mirai都会取得胜利，因为它在控制物联网设备和排除竞争恶意软件方面效率极高。

在逮捕VDoS幕后主使几周后，特别探员Peterson发现了他的下一个目标：Mirai僵尸网络。在Mirai案中，我们不知道Peterson团队在调查中采取的具体步骤：法院命令目前是“保密的”，这意味着法院认为它们是秘密的。但从公开报道中，我们知道Peterson的团队是以通常的方式获得突破难题的，来自Mirai的受害者，网络安全记者Brian Krebs，他的博客在9月25日被Mirai攻击。

FBI发现了C2和加载服务器的IP地址，但不知道是谁开的账户。Peterson的团队可能会传唤托管公司，以了解账户持有人的姓名、电子邮件、手机和支付方式。有了这些信息，它将寻求法院命令，然后获得搜查令，以获取同谋者的谈话内容。

尽管如此，考虑到这些黑客的聪明程度，寻找Mirai恶意软件的作者肯定是一项艰巨的任务。例如，为了逃避侦查，Josiah不仅使用了VPN，还入侵了一名法国少年的家用电脑，并将其作为“出口节点”。因此，僵尸网络的命令来自这台计算机。不幸的是，店主是日本动漫的忠实粉丝，因此符合黑客的特征。美国联邦调查局和法国警方在搜查了男孩的家后发现了他们的疏漏。

最终的结果

在行使了两个月的权力后，Paras在黑客论坛上发布了Mirai的几乎完整的源代码。他写道:“我赚了钱，现在有很多人在关注物联网，所以是时候交出它了。”有了这个代码转储，可以让任何人都可以构建自己的Mirai。他们做到了。

转储代码是鲁莽的，但并不罕见。如果警方在黑客的设备上找到源代码，他们就可以声称他们“从互联网上下载了源代码”。Paras不负责任的披露是一场虚假行动的一部分，目的是挫败联邦调查局，后者一直在收集表明Paras参与Mirai的证据，并联系他询问问题。虽然他给了特工一个编造的故事，但收到联邦调查局的短信可能就惊到了他。

Mirai已经引起了网络安全社区和执法部门的注意。但直到Mirai的源代码发布后，它才引起了整个美国的注意。转储后的第一次攻击发生在10月21日，攻击对象是位于新罕布什尔州曼彻斯特的Dyn公司，该公司为美国东海岸的大部分地区提供域名系统（DNS）解析服务。

它开始于美国东部时间早上7点07分，一系列25秒的攻击，被认为是对僵尸网络和Dyn的基础设施的测试。然后是持续的攻击：一个小时，然后是五个小时。有趣的是，Dyn并不是唯一的目标。索尼的PlayStation视频基础设施也受到了冲击。由于种子如此巨大，许多其他网站都受到了影响。像cnn.com、facebook.com和nytimes.com这样的域名也不能用。对于这些用户中的绝大多数来说，互联网变得无法使用。晚上7点，Dyn和PlayStation又迎来了10个小时的轰炸。

进一步的调查证实了袭击的地点。除了Dyn和PlayStation的流量外，僵尸网络还瞄准了Xbox Live和“核辐射”游戏托管服务器。民族国家的目标不是入侵即将到来的美国大选。有人想把玩家从游戏服务器上踢出去。和黑手党、VDoS、Paras、Dalton和Josiah一样，攻击者又是一个十几岁的男孩，这次是一个15岁的北爱尔兰男孩，名叫Aaron Sterritt。

与此同时，正如Paras所说，Mirai三人组离开了DDoS业务。但他和Dalton并没有放弃网络犯罪，他们刚刚开始搞点击欺诈。

点击欺诈比运行引导服务更有利可图。虽然Mirai不再像以前那么大，但僵尸网络仍然可以产生可观的广告收入。Paras和Dalton在一个月内从点击欺诈中赚到的钱与他们用DDoS赚到的钱一样多。到2017年1月，他们的收入超过18万美元，而从DDoSing获得的收入仅为1.4万美元。

如果Paras和他的朋友们干脆关闭了他们的引导服务，转而从事点击欺诈，世界很可能会忘记他们。但是通过发布Mirai代码，Paras创造了模仿者。Dyn是第一个主要的模仿攻击，但其他许多效仿。由于这些模仿者造成了巨大的破坏，执法部门对Mirai的作者非常感兴趣。

在收集了Paras和其同伙与Mirai有关的信息后，联邦调查局悄悄地把他们带到阿拉斯加。Peterson的团队向嫌疑人展示了证据，并给了他们合作的机会。鉴于证据无可辩驳，双方都让步了。

Paras曾两次被起诉，一次是在新泽西州因袭击罗格斯大学而被起诉，另一次是在阿拉斯加因Mirai而被起诉。两份起诉书都提出了同样的指控——违反了《计算机欺诈和滥用法》，他因此面临最高10年的联邦监狱监禁。另外两人只在阿拉斯加被起诉，面临5年监禁。

三人都认罪了。2018年9月18日在安克雷奇举行的量刑听证会上，每名被告都对自己的行为表示忏悔。Josiah的律师间接传达了被告的想法，即Mirai是“一个巨大的判断失误”。

与Josiah不同，Paras在法庭上直接与法官Timothy Burgess交谈。他首先承认对自己的行为负有全部责任，并对自己给家人带来的麻烦深表歉意。同时还为自己给企业，特别是罗格斯大学、教职员工和他的同学造成的伤害道歉。

司法部做出了不寻常的决定，不要求监禁。在其判决备忘录中，政府指出“（被告）的网络角色之间存在差异，在网络角色中，他们是DDoS犯罪环境中的重要、知名和恶意行为者，而在相对平凡的‘现实生活’中，他们表现为社会不成熟的年轻人，与父母生活在一起，相对默默无闻。”它建议执行五年缓刑和2500小时的社区服务。

政府还有一个要求，即社区服务“包括继续与联邦调查局在网络犯罪和网络安全问题上的合作”。甚至在宣判之前，此三人就已经花了近1000个小时帮助联邦调查局追捕和关闭Mirai的模仿者，为十几项执法和研究工作做出了贡献。在一个案例中，三人协助阻止了一个民族国家的黑客组织。此外，他们还帮助联邦调查局阻止了旨在扰乱圣诞假日购物的DDoS攻击。Burgess法官听从了政府的建议，使三人逃脱了牢狱之苦。

听证会上最令人心酸的时刻是Paras和Dalton把抓住他们的人单独挑出来表扬。“两年前，当我第一次见到特工Peterson时，”Paras在法庭上说，“我是一个傲慢的傻瓜，相信自己是不会动摇的。当我第二次见到他本人时，他对我说了一些我永远不会忘记的话:‘你现在有麻烦了，该停止挖掘了。’”Paras最后以致谢结束了自己的发言：“感谢我的家人、朋友以及Peterson探员，感谢他们帮助我度过了这一切。”